|
发布时间: 2022-9-4 13:53
正文摘要:一直用IPV4,以前试过IPV6能用,然后就关了 最近UDP被QOS,听说IPV6稳一点. IPV4我的知识点建立在,端口别乱映射,密码不要太简单,个人用户基本挺妥 IPV6印象是默认全网开放?需要怎么设置?防火墙之类? 只开放我想要去 ... |
| openwrt原来ipv6一直在裸奔,赶紧在防火墙通信规则加了个ipv6deny兜底。 |
腿毛飘飘 发表于 2022-9-4 15:27 tplink的企业系列就不是这样,透明的,光猫的话有些地方允许入站有些地方不允许 |
okango 发表于 2022-9-4 15:03 如果路由器或者光猫默认是允许入站流量的话,你有ipv6公网地址的设备就相当于裸奔在网上 |
| OpenWRT默认应该是不可以从WAN发起的连接到LAN的,实在害怕建议买硬件防火墙,安全域不放通的话连DHCP都会拦截,超级安全 |
|
如果你要网关后面的某台设备做服务器暴露于公网,那建议你用dhcpv6给内网设备分配ipv6地址,而不是slaac。dhcpv6分配的你可以确定ip后缀,网关的防火墙规则可以无视pd前缀对内网设备的ip后缀做匹配,如果slaac分配ip的话,网关的防火墙规则没法配置 否则你只能在网关完全开放防火墙,由内网的设备单独面对外网的威胁 |
多崎作 发表于 2022-9-4 14:53 我自己写的文档,应该可以帮助到老哥。 RouterOS配置IPv6 |
|
推荐看下这篇文章,基本能解决楼主的需求。 https://blog.csdn.net/qq_37550958/article/details/125012399 |
本帖最后由 okango 于 2022-9-4 21:35 编辑 HyperSPH 发表于 2022-9-4 20:49 大佬的方案没错,我在内网[ipv6]:5000这样访问不了,用手机移动网络顺利访问. 另外DDNS应该不能像IPV4一样,绑定路由就通用一个域名:端口. 想要连接群晖的IPV6,就要用群晖的IPV6来DDNS,而不能用主路由的IPV6:端口 今天钻了3个坑记录: 1.在内网访问[ipv6]:5000无效,要外网 2.IPV6的DDNS只能单对单 3.最坑:我一直在尝试wireguard的IPV6,原来不单单是在路由配置防火墙和端口,wireguard的服务端和客户端都得重新配置. 最坑的是我直接从wireguard起步,随便用其他早成功了,按大佬的方法随便其他的服务项目外网[ipv6]:5000早就可以轻松访问,吐血 |
jim9606 发表于 2022-9-4 21:11 学习了 |
|
所有家用路由器,包括oenwrt都是默认拦截ipv6入站连接的。windows防火墙默认只对本地子网开放smb等内网服务。 主要影响的是一些你主动开放的应用,例如自己假设的无密码的rpc控制台、ftp服务器等。这些应用注意下保护,其他情况不要手贱关防火墙、打开自动更新就是。 |
本帖最后由 HyperSPH 于 2022-9-4 20:53 编辑 okango 发表于 2022-9-4 20:39 对,网页或者app直接输[ipv6]:5000就可以访问,上行都能满。直连根本不需要ddns。你ipv6地址获取确定没问题的话,其他也没啥特殊设置的。另外,很多地区给的ipv6地址前2-4位的地址每次拨号都会变(可配合ddns)。所以防火墙规则目标地址只给后四位就行,前四位通配设置。 |
本帖最后由 okango 于 2022-9-4 20:48 编辑 HyperSPH 发表于 2022-9-4 18:56 似乎问题出在DDNS  比如我的群晖IPV6:240e:3b1:46e************** 外网可以这样访问:http://[240e:3b1:46e**************]:5000访问? 但我无法访问DDNS:http://aaa.com:5000 而实际aaa.com是ping的通的,并且是确定绑了IPV6的 |
这么一说,我好像全默认。啥也没改过,ipv6的远程桌面,端口也没改,情绪稳定。偶尔还用FRP穿透,没中过招,系统有更新一般都更了,防火墙也正常打开的,安全软件就用的系统自带的,几年没用过其他安全软件了。 |
本帖最后由 HyperSPH 于 2022-9-4 18:59 编辑 okango 发表于 2022-9-4 18:22 目标地址格式不对。::XXX:XXXX:XXXX:XXXX/::ffff:ffff:ffff:ffff X换成你群晖ipv6后四位地址。另外,你访问群晖的设备必须也得有ipv6地址,比如手机可以用4G/5G去连了看。 dsfile访问端口一般是5000和5001,tcp和udp也注意下。 |
okango 发表于 2022-9-4 16:59 防火墙通信规则加一个开放设备的地址和端口就行了,简单的很。 
|
我永远喜欢框框 发表于 2022-9-4 16:44 谢谢指导,openwrt没法参考你的 |
HyperSPH 发表于 2022-9-4 15:39 大佬,能来几张截图吗 |
本帖最后由 HyperSPH 于 2022-9-4 15:41 编辑 okango 发表于 2022-9-4 15:03  谁告诉你不进行设置等于裸奔的。官方openwrt固件,默认ipv6直接防火墙全开。要自己设置开放的端口、内网设备地址。。。。 |
| 家用,禁止外网PING就差不多了,最多再开启内网DOS攻击防御,也就没啥了,其实PING不到你,做不了肉鸡,就没事了。 |
本帖最后由 okango 于 2022-9-4 15:38 编辑 腿毛飘飘 发表于 2022-9-4 15:27 多谢指导,请问开了IPV6之后,我想单独给设备A设置IPV6并映射到外网,并且只开放3389端口服务,openwrt如何设置呢 虚心求教,以上要求IPV4有公网的情况下只需要IPV4的IP加端口映射,而IPV6有点云里雾里 |
okango 发表于 2022-9-4 15:03 谁说IPv6 裸奔的?正经的路由器默认也是关闭外部访问的,只能从内部发起连接。 |
|
默认设置基本可以了 我一直用6的,移动6出口最大 就怕搞什么穿透,3389之类的,开了也口子 |
多崎作 发表于 2022-9-4 14:53 我是这样理解的,IPV6不进行相关设置等于裸奔(这个知识点也可能不对),所以不敢轻易设置 IPV4默认封闭,谨慎映射端口一般都安全 |
一样的问题 ROS设置好了IPV6不知道防火墙应该怎么设置比较好 有大佬分享下脚本不 |
alwayskid 发表于 2022-9-4 14:47 大佬,小白听的云里雾里,方便抽空弄几张截图吗 |
|
OpenWRT防火墙,WAN-LAN转发Reject 要开放端口就在Traffic Rules里加一条限制Destination IP和端口的规则 或者用socat做代理 |
Archiver|手机版|小黑屋|Chiphell
( 沪ICP备12027953号-5 )
310112100042806
GMT+8, 2025-5-19 06:42 , Processed in 0.013964 second(s), 9 queries , Gzip On, Redis On.
Powered by Discuz! X3.5 Licensed
© 2007-2024 Chiphell.com All rights reserved.
